基于网络流量的挖矿木马团伙态势特征研究

吴海燕?胡金坤?陈亚亮

摘要：本文就挖矿木马的入侵方式、传播途径、行为特征、危害、挖矿流量特征等方面进行了研究，并跟踪分析了在上海地区活跃的挖矿木马团伙。同时，本文还基于网络流量进行特征分析，最后提出了有效的防护建议，以维护网络信息系统安全。挖矿木马已经给大量受害人造成了经济损失，同时也威胁着网络的安全，妨害国民经济和社会发展。因此，我们需要对挖矿木马进行深入了解和研究，以便更好地应对挖矿木马的威胁。

关键词：挖矿木马；区块链

特征分析自2009年比特币诞生以来，其经济价值和影响力不断扩大，各种类型和用途的虚拟货币相继涌现，如以太坊、门罗币、莱特币、树图币等。这些虚拟货币不是由特定的货币发行机构发行的，而是使用密码学原理产生和交易。通过消耗计算或存储资源执行工作或采用其他类似算法获得虚拟货币的过程被称为“挖矿”，该名称源自对采矿的比喻，进行“挖矿”工作的人通常称为“矿工”。由于主动挖矿成本高昂，一些不法分子采用网络攻击手段，将挖矿程序植入被控制的主机，利用受害者主机的算力和资源进行挖矿。这种植入受害者主机的挖矿程序被称为“挖矿木马”。挖矿木马通常会消耗大量硬件资源，导致感染主机运行变慢，影响正常业务运行。虚拟货币给黑灰产团伙提供了一个有效便捷的变现方式，挖矿木马风险小、门槛低、收益高，黑产团伙持续对其升级，不断集成新的攻击手法和更加成熟的对抗手段。这不仅对受害者造成巨大的经济损失，也严重地威胁到了网络安全，妨害国民经济和社会发展。

一、挖矿木马

（一）种类类型

根据挖矿木马运行环境主要可以分为两种类型[1]。

①基于浏览器运行。该类型通常是将一段恶意 JavaScript 代码嵌入到网页中，在访问该页面的用户机器上执行挖矿指令。这种类型的典型代表是 Coinhive，Coinhive 发布了可以嵌入网页运行的门罗币挖矿代码，许多网站运营者将其作为替代广告的牟利方式。高峰时期有3万多个网站嵌入了Coinhive 挖矿代码，每月约有1000万受害者。随着2019年Coinhive关闭，该类型挖矿流量急剧下降。

②基于主机运行。该类型通常是将恶意程序植入受害者主机中运行，通过设置计划任务或修改注册表项实现持久化，长期进行加密货币的挖矿作业。有部分挖矿木马为了对抗检测，采用内存马技术，具有无文件、不落地、难检测的特点。据统计，XMRig是2022 年全球最常检测到的加密挖矿恶意软件，四分之三的企业用户受其影响。

（二）入侵方式[2]

①网页挂马。攻击者通过在网页内嵌入挖矿 JavaScript 脚本，使用户在进入网页后，脚本会自动执行。这种方式通常用于浏览器挖矿，同时也有些挖矿木马存在，它们会诱导用户下载到本地执行。

②网络钓鱼。攻击者将木马程序伪装成正规软件或热门文件，并通过社交软件或邮件发送给受害者。一旦受害者打开相关软件或文件，就会激活木马程序，从而使攻击者获得对受害者计算机的控制。

③口令爆破。攻击者通过暴力破解的方法尝试使用可能的密码组合进行登录，通常会针对SSH、RDP、Redis、MSSQL等服务进行口令爆破。当攻击者成功登录后，他们会尝试获取系统权限，并在受害者计算机上植入挖矿木马并设置持久化，从而不断进行挖矿活动并获取收益。这种攻击对于一些没有采用严格的密码策略以及多因素認证措施的系统特别危险。

④漏洞利用。攻击者会利用系统或软件应用程序中的漏洞来入侵目标系统。这些漏洞包括操作系统漏洞、应用服务漏洞或中间件漏洞等，攻击者利用系统漏洞快速获取相关服务器权限植入挖矿木马，是目前最为普遍的传播方式之一。

⑤供应链攻击。攻击者在合法软件正常传播和升级过程中，利用软件供应商的各种疏忽或漏洞，对合法软件进行劫持或篡改，从而绕过传统安全产品检查，进而植入挖矿木马。

⑥利用僵尸网络。对于攻击者来说，利用已有的僵尸网络传播挖矿木马是一种快捷的变现手段，此外攻击者还可以利用僵尸网络劫持剪切板，监控用户复制粘贴的地址，将地址替换成攻击者的地址，从而实现钱包地址的盗取。

（三）行为特征

挖矿木马显著的行为特征，首先是极大地占用了CPU和GPU资源。主要包括高CPU和GPU使用率、响应速度慢、系统崩溃或频繁重新启动、系统过热、异常网络活动等。其次是在网络流量中，挖矿木马通信过程采用专门的通信协议，具有一定的网络通信特征。

1.主机侧

挖矿木马主机侧的检测主要依据是对应进程CPU使用率长时间居高不下，部分挖矿木马采用多方式隐藏进程并具备多种持久化驻留方式。

①针对不具备隐藏进程功能的挖矿木马检测：Windows系统使用任务管理器查看；Linux系统使用命令top -c查看。

②针对具备隐藏进程功能的挖矿木马检测：Windows系统主机可使用 ProcessExplorer 、ProcessHacker、PcHunter等软件查看系统所有进程及其进程关系，依据CPU使用率筛选可疑进程。然后再进一步在主机上排查该可疑进程的网络连接，计算可疑进程对应文件Hash，通过公开的威胁情报平台进行查询，综合判定结果。

2.网络侧

挖矿木马感染主机和矿池的通信过程，最常使用的是Stratum协议。该协议内容为JSON数据格式，包含多个固定的特征字段。在检测过程中，可使用抓包软件如Wireshark等分析TCP通信内容。

矿池主要有公开矿池和私有矿池。矿池地址通常由域名+端口或IP地址+端口组成。域名中可能存在一些特殊字符串，如：Pool、Xmr、Mine等。在检测过程中，可结合威胁情报和对应通信内容进行综合判定。

（四）主要危害

近年来，原本用于DDoS攻击或者发垃圾邮件等活动的僵尸网络出现了一种新的变现方式：虚拟货币“挖矿”。攻击者经常在被攻陷的主机植入挖矿木马，挖矿木马的主要危害包括：①对信息系统基础设施资源消耗与运行风险的加重。挖矿木马消耗信息系统基础设施大量资源，使操作系统、服务和应用软件运行缓慢。这可能导致正常服务崩溃，产生业务中断、数据丢失和其他负面影响。②危害信息系统基础设施使用寿命与运行性能。挖矿木马迫使信息系统基础设施处于长时间高负载运行状态，这可能缩短其使用寿命并严重降低其运行性能。③浪费能源和增加碳排放量：挖矿木马挖矿需要消耗大量电能，这会导致高额能源消耗。而现阶段我国电能的主要来源是煤炭发电，因此，其挖矿操作对碳排放的污染有负面影响。④留置后门，衍生僵尸网络。挖矿木马经常具有添加SSH免密登录后门、安装RPC后门，接收远程IRC服务器指令以及安装Rootkit后门等恶意行为。这可能造成受害组织网络沦为僵尸网络。⑤作为攻击跳板，攻击其他目标。挖矿木马支持攻击者控制受害者服务器进行DDoS攻击。攻击者可以以该服务器为跳板攻击其他计算机，并释放勒索软件索要赎金等。

二、挖矿网络流量

（一）挖矿协议

挖矿机器与矿池之间的通信需要遵循特定的协议[3]。目前主流的挖矿协议是Stratum协议，较早之前还有GBT（Get BlockTemplate）协议和Getwork协议。

Stratum协议在2012年推出，是在Getwork协议的基础上进行改进而来，解决了Getwork协议效率低下的问题。在Stratum协议中，挖矿机器与矿池之间采用TCP的形式传输数据，数据传输的过程基于JSON-RPC。矿机使用Stratum协议的总体工作流程如下：

1.矿机任务订阅

矿机=〉矿池：Mining.Subscribe

矿池=〉矿机：Mining.Notify

2.矿机认证

矿机=〉矿池：Mining.Authorize

矿池=〉矿机：返回认证的结果，True 或者False

3.设置难度并通知矿机工作

矿池=〉矿机：Mining.Set_Difficulty、Mining.Set_Extranonce、Mining.Notify

4.矿机提交结果

矿机=〉矿池：Mining.Submit

矿池=〉矿机：返回是否接受结果，True或者False

由于加密货币的种类繁多，不同的加密货币采用的通信协议会有部分不同。

（二）明文挖矿监测

1.BTC挖矿

BTC挖矿采用了标准的Stratum协议，其传输数据采用标准的Json格式，有比较明显的方法标识，如Mining.Subscribe、Mining.Authorize等。

2.XMR（门罗币）挖矿[3]

XMR门罗币挖矿流量简化了过程，通过Login方法来进行认证和订阅，矿池端在接收到Login信息后，如果验证通过，则会直接下发任务，标准的Stratum协议的三次通信压缩为一次，大大减少了通信流量。数据包大概分成了两类，一类是登录包，一类是提交包具有明显的特点：①有Jsonrpc的版本标识；②ID字段请求和响应相等，并且逐步递增；③带有明显的特征字段，例如Login、Submit、Params、Seed_Hash等。

（三）加密挖矿监测

针对矿机与矿池通信的协议检测，目前仅适用于明文通信的情况，而大多数矿池都已支持加密通信。针对加密传输的情况，可以在握手协议和证书两个层面来做一些事情。①由于挖矿的特殊性，矿池的域名和证书通常不会轻易更改，并且矿池的聚集属性有助于保证收益的稳定性。因此可收集排名靠前矿池的域名和证书，并通过空间测绘技术运用于常用币种，如门罗币等的挖矿木马监控，以发现公共矿池、私有矿池、P2P矿池、矿池代理等情报。②挖矿协议本身具有比较固定的模式，包括矿机登记、任务下发、登录、结果提交等。明文通信和加密通信都存在类似的关系，而且每种命令交互的包大小相对固定，基于相对固定的时序和通信包大小等特征，构建加密挖矿特有的行为模型进行检测。

三、挖矿木马团伙态势特征分析

本文根据互联网上公开发布的挖矿木马威胁情报[1，4，5]，对近期活跃挖矿木马团伙的活动情况开展了分析研究。

（一）近期活跃挖矿木马团伙

已知多个威胁组织在我国境内大规模传播挖矿木马。这些威胁组织跟踪范围包括“8220”、Outlaw、TeamTNT、H2Miner、Sysrv-hello、“1337”、Kthmimu、Hezb八款典型挖矿木马团伙家族。这些威胁组织的目标平台包括Windows和Linux系统。它们的传播方式主要是高危漏洞利用和SSH暴力破解。最常见的漏洞包括WebLogic RCE漏洞（CVE-2020-14882/14883）、Apache Log4j漏洞（CVE-2021-44228）、Redis未授權访问漏洞等。

（二）挖矿木马失陷主机特征

从挖矿木马团伙攻击目标特征看，公共互联网上开启了22、135、139、445、3389等端口的主机是高危目标。开启远程桌面连接、OpenSSH连接及承载SQLserver、MySQL等数据库的服务器均为重点目标。此外，许多具有丰富计算资源和电力资源的数据中心及企业内部也是挖矿木马重灾区。

（三）挖矿木马使用矿池IP情况

以本文关注的八款挖矿木马团伙家族所涉及的矿池为例，超过97%的矿池或矿池代理IP来自中国大陆境外；矿池IP端口中，除了80、443等常见端口，3333、17777、6666等非常见端口也占一定比例；矿池域名中，c3pool.com（猫池）、supportxmr.com、monerooceans.stream、pwndns.pw等域名非常活跃；最多的矿池地址其对应的门罗币钱包地址高达近百个，控制着大量失陷主机为其挖取门罗币。

四、应对建议

挖矿木马、网页挖矿等恶意挖矿，事后都较难通过手动检测找到入侵路径，而且也很难快速排查出高CPU使用率的原因。挖矿木马可能会隐藏自身或伪装成合法的进程，以避免被用户删除。预防恶意挖矿的最好方法，是在成为受害者之前采取安全措施。

针对主机挖矿木马，建议采取如下防护措施：①安装反病毒软件，针对不同平台建议安装Windows/Linux版本。②加强SSH口令强度，避免使用弱口令，建议使用16位或更长的密码，包括大小写字母、数字和符号在内的组合，同时避免多个服务器使用相同口令。③建议开启自动更新功能安装系统补丁，服务器、数据库、中间件等易受攻击部分应及时更新系统补丁。④建议及时更新第三方应用如WebLogic、JBoss、Redis、Hadoop和Apache Struts等应用程序补丁。⑤开启关键日志收集功能（安全日志、系统日志、错误日志、访问日志、传输日志和Cookie日志等），为安全事件的追踪溯源提供基础。⑥对系统进行渗透测试及安全加固。⑦部署入侵检测系统（IDS）：部署流量监控类软件或设备，便于对恶意代码的发现与追踪溯源。

五、结束语

恶意挖矿产业背后的攻击者一直在积极提高技能水平，不断更新其攻击手法，并开始针对各种平台的硬件设备，其功能迭代及漏洞配备速度将更加迅速。随着数字化技术的不断发展，网络威胁对于大众的影响越来越与现实紧密相连。虽然恶意挖矿活动所造成的破坏性远低于勒索软件等恶意软件，但其造成的广泛影响和感染数量远超于其他恶意软件，是一种不容小觑的网络威胁。

作者单位：吴海燕 胡金坤 陈亚亮 国家计算机网络应急技术处理协调中心上海分中心

参  考  文  献

[1]CNCERT，2021年恶意挖矿威胁趋势分析报告. https：//www.cert.org.cn/publish/main/upload/File/2021%20Malicious%20Mining%20Report.pdf

[2]辛毅，高泽霖，黄伟强.挖矿木马的检测与防护技术分析[J].网络空间安全，2022，13（01）：41-46.

[3]史博轩，林绅文，毛洪亮.基于网络流量的挖矿行为检测识别技术研究[J].计算机应用研究[J]，2022，39（07）：1956-1960.

[4]安天CERT，2022年典型挖矿木马盘点. https：//www.antiy.cn/research/notice&report/research_report/20230208.html

[5] CNCERT，关于“8220”黑客攻击团伙近期活跃情况的挖掘分析报告. https：//www.cert.org.cn/publish/main/upload/File/8220%20APT.pdf